【馬上拔掉耳機】用耳機聽音樂的人小心了,現在駭客可能在聽著你的一舉一動

5837cdb46285c

【為什麼我們挑選這篇文章】時常聽到駭客駭電腦、電話、車子等等,現在連耳機都遭殃。以色列一間大學的研究人員創造出一個惡意軟體,能把你的耳機變成麥克風,讓你被監聽的無所遁形。

真的是什麼都能駭,什麼都不奇怪…(責任編輯:張瑋倫)

為了防止被駭客偷窺,謹慎的電腦用戶會一小張貼紙蓋住視訊鏡頭(祖克柏);神經過敏的還會擔心設備上的麥克風;妄想症最嚴重的甚至會把他們的筆記本電腦和 智慧型手機 拆開,把音訊組件關閉或者乾脆拆下來,這樣駭客就別想竊聽到任何內容。

現在,以色列的一組研究人員把這個監聽-反監聽的妄想症遊戲推到了新高度——他們開發出一個把用戶耳機臨時變為麥克風,使駭客能對用戶進行監聽的惡意軟體。

以色列本·古里安大學(Ben Gurion University)的研究人員,創造了一組名為「Speaker」(揚聲器)的代碼。研究初衷是藉此來對「耳機變成竊聽麥克風」進行概念論證。

用它來展示:即便是一台沒有麥克風的數碼設備,有決心的駭客一樣可以偷偷摸摸地把它劫持,用來竊聽、錄音。這個試驗性惡意軟體能夠對用戶耳機重設指令,把它變成麥克風,把空氣的振動轉化為電磁訊號,即使是房間另一頭(相對於被「駭」的設備)的聲音也能被十分清晰地捕捉到。

本·古里安大學互聯網安全實驗室負責人、本項目帶頭人 Mordechai Guri 說道:

「人們從來沒想過這種隱私風險。即便你把麥克風拔掉了,只要耳機還插在電腦上,駭客就可以對你竊聽。」

很多  YouTube 影片向人們展示過,必要時耳機可以被當做麥克風使用。正常耳機揚聲器通過振膜的振動把電磁訊號轉化為聲音,而振膜可以被反過來用——採集聲音振動,然後把它們轉化成電磁訊號(不信?你可以把沒有麥克風的耳機插到電腦麥克風接口試一試)。

5837c9d6e7be3

本·古里安研究人員編寫的惡意軟體,利用了 RealTek 音訊解碼/編碼晶片一個鮮為人知的屬性,能夠悄悄地把電腦的音訊輸出通道重設為輸入通道。這樣的情況下,即便耳機只插在音訊輸出接口上,沒有連接麥克風接口,該軟體仍然能夠進行竊聽。

研究人員們表示,裝 RealTek 音效卡的電腦到處都是,以至於該軟體能夠作用於所有的台式機和大部分的筆記本電腦,不管它運行的是 Windows 還是 Mac OS 系統。美國《連線》雜誌試圖就此聯繫 RealTek ,但 RealTek 尚未進行回應。

5837ccbfc9a41
電腦主板上的 RealTek 集成音效卡

Mordechai Guri 說:

「這是一個非常嚴重的問題,它使今天幾乎所有的電腦,對此類攻擊完全不設防。」

公平地說,只有那些已經採取多重防駭客措施的資深強迫症患者,才會在意這種竊聽攻擊。但在講究互聯網安全的時代,能悄無聲息開啟電腦麥克風的惡意軟體,正逐漸引發社會主流的擔憂。

Guri 提醒我們,早些時候,祖克柏用膠紙貼住電腦視訊鏡頭的照片。在一段影片中,棱鏡門主角、前 CIA 特工史諾登,教給我們怎麼拆掉手機的內建麥克風。

甚至 NSA(美國國家安全局)的訊息安全部門對公眾建議,禁用 PC 的麥克風來讓電腦更安全。還有數碼維修網站 iFixit,在今年七月對雜誌 MacWorld 展示了怎麼在硬體上禁用蘋果 Macbook 的麥克風。

5837ccf23b164
馬克·祖克柏的電腦

但是,所有這些措施,都無法阻止這種新型駭客技術的監聽。除非用戶把電腦的音訊輸出/輸入通道全部禁用。Guri 表示,他們的團隊至今專注於怎麼利用 RealTek 音效卡攻擊電腦。他們還需要考察,其它音訊編解碼晶片以及 智慧型 手機,是否會暴露在此類攻擊之下。不過研究人員們對該技術破解其他音效卡的能力很有信心。

在他們的測試中,研究員們使用了一對森海塞爾(Sennheiser)耳機。他們發現可以錄下 20 英尺(約六米)遠的聲音。而且,經過壓縮之後(壓縮是為了把錄音更快通過網路傳過來,典型駭客的做法),他們仍然能分辨出該錄音中男測試者說的話。

「這種方式十分有效。大家的耳機確實有高質量麥克風的潛質,」Guri 說道。

更可怕的是,根本沒有簡單的軟體更新方案能免疫這種攻擊。RealTek 音效卡允許程序把音訊輸出通道轉為輸入通道的屬性並不是一個漏洞,即使它比很多漏洞還要危險。而且,除非對音效卡軟硬體都重新設計,並且把舊電腦的音效卡換掉,否則大部分人仍然暴露在駭客的竊聽攻擊之下。

在那之前,神經過敏的技術宅們請注意:如果有駭客下了決心要搞你,竊聽你的私密談話,你不但需要拆掉電腦麥克風,還要把耳機拔下來。

(本文經合作夥伴雷鋒網授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈尚未被破解的新型黑客技術!把你的耳機變成竊聽麥克風 〉。)

延伸閱讀

【拜見神人的時刻】駭客有多厲害?隨手一撥打給羅馬教皇,隨手一駭 iPhone 馬上掰掰
【下一站:地獄?】特斯拉最大漏洞被駭,你的無人車就是駭客的玩具遙控車
【HITCON 駭客年會】一支手機就能偷走整台車?Gogoro 資安 Bug 被台灣駭客抓到了


《TO》品牌活動「CONNECT」登場!

本周主打「Marketing Intelligance」專題,看企業如何激發數據無限錢力! 馬上報名 獲取最新深度報導。    

點關鍵字看更多相關文章: